Por Marta Escudero y Javier Maestre
La Agencia española de protección de datos ha emitido un informe jurídico por el
que considera que la dirección IP, por sí sola, constituye un dato de carácter
personal y que, por tanto, los titulares de las páginas que almacenen este dato
tendrán que registrar el fichero correspondiente. El incumplimiento de esta
obligación puede ser sancionado con multas de más de 300.000 Euros en caso de
considerarse infracción grave.
Desde que se publicara la Ley 34/2002, de los Servicios de la Sociedad de la
Información (LSSI) se creó cierta incertidumbre en lo que respecta a la
consideración de la dirección IP como dato de carácter personal, debido a la
obligación de retención de datos de tráfico que imponía el artículo 12 de la
dicha norma.
En efecto, dicho precepto establecía la obligación para los operadores de redes
y servicios de comunicaciones electrónicas, los proveedores de acceso a redes de
telecomunicaciones y los prestadores de servicios de alojamiento de datos, de
retener los datos de conexión y tráfico generados por las comunicaciones
establecidas durante la prestación de un servicio de la sociedad de la
información y por un periodo máximo de 12 meses. Además establece dicha Ley que
esta información debería almacenarse bajo las medidas de seguridad adecuadas
para evitar su alteración, pérdida o acceso de terceros. Sin embargo, no detalla
ni los datos concretos que han de almacenarse, ni a qué tipo de medidas de
seguridad se refiere, dejándolo para su posterior desarrollo reglamentario.
Por tanto, la LSSI impone la obligación de almacenar los datos de tráfico y
conservarlos durante un año con las debidas cautelas, pero no especifica que
estos datos, en concreto las direcciones IP, tuvieran el carácter de dato
personal a los efectos de la LOPD. Esta situación de incertidumbre se agrava
ante la falta de desarrollo reglamentario de las previsiones contenidas en la
Ley. Es más, en la propia página creada por la Administración para ayudar al
cumplimiento de la normativa es establece la "suspensión" de esta obligación
hasta la publicación del Reglamento de desarrollo de la Ley que, tras dos años
desde su aprobación, se encuentra todavía pendiente.
En este contexto, recientemente la Agencia Española de Protección de Datos ha
pretendido arrojar un poco de luz en este punto mediante un informe publicado en
su página web en el que estudia la situación partiendo de la definición que la
LOPD confiera a la expresión "datos de carácter personal", a saber: "cualquier
información concerniente a personas físicas identificadas o identificables".
Este informe, que es muy breve y profundiza muy poco en el tema, concluye con
que existen distintas maneras de identificar a un usuario de Internet a partir
de la dirección IP, ya sea ésta dinámica o estática y que, por tanto, aunque no
todos los agentes de Internet tengan la posibilidad de identificar a los
usuarios, la mera posibilidad de que la identificación sea posible a partir de
una IP, hace que la normativa de protección de datos sea aplicable, en opinión
de la Agencia.
Es decir, la dirección IP se entiende, por sí sola y a pesar de considerarla
aisladamente, como dato de carácter personal porque permite identificar a una
persona física, el usuario, o al menos hacerla identificable a través de
distintos medios.
Además, establece que las medidas de seguridad que corresponderá adoptar para la
debida protección del fichero dependerán de los datos que en el mismo se
contengan. Así, si únicamente se contienen direcciones IP, el fichero será de
nivel básico y si, por ejemplo, el fichero contiene la dirección IP asociada a
los sitios web solicitados con la finalidad de elaborar un perfil del usuario,
se deberían adoptar las medias de seguridad de nivel medio.
A pesar de este informe emitido por la Agencia, no hay que olvidar que la LSSI
dispone en el párrafo 4º del art. 12 que reglamentariamente se establecerán las
categorías de datos que deben conservarse, el plazo de conservación en cada
supuesto concreto, las condiciones en que deberán almacenarse, tratarse y
custodiarse, la manera en que se deberán entregar a los órganos autorizados en
el caso de ser requeridos, y el modo de destrucción.
Por tanto, es de esperar que aunque el informe mencionado establece que con
carácter general las direcciones IP han de someterse a la normativa de
protección de datos, cuando finalmente se dicte el Reglamento de desarrollo de
la LSSI se disponga de unas pautas más concretas y explícitas conforme a las
cuales deberán ser tratadas las direcciones IPs en relación con la protección de
datos.
Mientras tanto, lo cierto es que con esta interpretación de la Agencia, los
responsables de páginas web que, de alguna manera, almacenen las IPs de los
usuarios (circunstancia muy usual en algunas páginas como por ejemplo las que
albergan foros), deberán proceder a dar de alta el fichero correspondiente en la
Agencia Española de Protección de Datos, ya que a pesar de la brevedad del
informe emitido por la Agencia y su carácter poco explicativo, éste especifica
claramente que la IP debe considerarse como un dato de carácter personal y por
tanto hay que cumplir con las obligaciones dispuestas en la Ley Orgánica de
Protección de Datos, al menos de momento.
Informe 327/03 de la Agencia "Carácter de dato personal de la dirección IP"
Marta Escudero y Javier Maestre
Abogados de Bufet Almeida
http://www.bufetalmeida.com
El presente artículo se puede utilizar de conformidad con la licencia que figura
en:
http://www.bufetalmeida.com/cclc.htm
Publicado originalmente en http://www.kriptopolis.com/more.php?id=201_0_1_0_M |